À l’heure où les cyberattaques se multiplient, Google annoncé un nouvel outil de sécurité visant à accroître la sécurité des logiciels open source.
Assured Open Source Software (OSS) permettra aux utilisateurs d’intégrer les propres packages de sécurité de Google dans leurs propres flux de travail.
Les logiciels open source restent une cible privilégiée des attaques de sécurité et, comme le note Google dans son annonce, il y a eu une augmentation massive de 650 % d'une année sur l'autre du nombre de cyberattaques visant fournisseurs open source. Étant donné que les chaînes d’approvisionnement en logiciels utilisent souvent du code open source pour rester accessibles et faciles à personnaliser, elles sont particulièrement vulnérables à ce type d’attaques.
En rapport
- Cette alternative ChatGPT est gratuite, open source et disponible dès maintenant
- Comment ChatGPT pourrait aider Microsoft à détrôner la recherche Google
- La bibliothèque emoji de Microsoft devient open source
Google est loin d'être la seule entité à s'intéresser au fait que les logiciels open source, malgré leurs nombreux avantages, peuvent facilement faire l'objet d'abus. La société, aux côtés d'OpenSSF et de la Linux Foundation, suit les initiatives de sécurité évoquées lors du récent sommet de la Maison Blanche sur la sécurité de l'Open Source. Microsoft a également récemment annoncé un nouveau initiative basée sur la cybersécurité.
Vidéos recommandées
Il y a eu de nombreuses vulnérabilités de cybersécurité très médiatisées dans un passé récent, telles que Log4j et Spring4shell. Pour tenter d'empêcher de telles attaques, Google a introduit Assured OSS.
Dans le cadre d'Assured OSS, Google espère permettre aux utilisateurs du secteur des entreprises et du secteur public d'intégrer les packages Google OSS dans leurs propres flux de travail de développement. De son côté, la société promet que les packages sélectionnés par le service seront régulièrement scanné, fuzz-testé et analysé pour s'assurer qu'aucune vulnérabilité ne parvient à échapper au défenses.
Tous les packages seront construits avec Cloud Build de Google et seront donc conformes à la conformité SLSA vérifiable. SLSA signifie Supply-chain Levels for Software Artifacts et est un cadre bien connu qui vise à normaliser la sécurité des chaînes d'approvisionnement logicielles. Chaque package sera également signé de manière vérifiable par Google et sera accompagné des métadonnées correspondantes intégrant les données d'analyse des conteneurs/artefacts de Google.
Pour mettre davantage l’accent sur la cybersécurité, Google a également annoncé un nouveau partenariat avec SNYK, une plateforme de sécurité pour développeurs israéliens. Assured OSS sera intégré dès le départ aux solutions SNYK, permettant aux clients des deux sociétés d’en bénéficier.
Google a souligné une statistique stupéfiante: parmi les 550 projets open source les plus courants qu'il analyse régulièrement, il a réussi à trouver plus de 36 000 vulnérabilités en janvier 2022. Cela montre à lui seul à quel point il est important de lutter contre la vulnérabilité de ces projets, étant donné que les logiciels open source sont populaires, nécessaires et définitivement là pour rester. Peut-être que l’Assured OSS de Google peut le rendre plus sécurisé pour tous ceux qui en bénéficient.
Recommandations des rédacteurs
- Un rival open source de ChatGPT vient d'être lancé par l'équipe Stable Diffusion
- Google a raté une grande chance avec une technologie de type ChatGPT, selon un rapport
- Attention, même les applications open source Mac peuvent contenir des logiciels malveillants
- Le dernier changement anti-spam de Google aide à nettoyer votre calendrier
- Les globes oculaires écrasés des astronautes pourraient être aidés par un sac de couchage high-tech
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
